標題
Bybit 漏洞賞金計劃
2024-12-07 19:07:45
Bybit 有安全漏洞與威脅情報賞金計劃嗎?
是的,Bybit 有安全漏洞與威脅情報賞金計劃。如果您發現 Bybit 存在漏洞並希望獲得賞金,請參考以下步驟:
第 1 步:以整潔有序的格式整合所有發現。若能提供該錯誤的 GIF 或視頻記錄將不勝感激。
第 2 步:通過此表格提交您的安全報告和調查結果,然後選擇 API 交易/匯報系統安全漏洞 選項。
對於視頻錄製,請將其上傳到 Google Drive 並將分享鏈接發送給我們。有關如何執行此操作的更多信息,請參考此處。
當安全漏洞與威脅情報被批准時,獎勵是多少?
請參閱以下列表來了解根據檢測到的漏洞級別所提供的獎勵。
|
|
|
|
|
|
|
|
|
|
如何定義不同級別的錯誤/漏洞?
請參閱以下列表獲取更多信息:
嚴重漏洞
嚴重漏洞是指發生在核心業務系統(核心控制系統、域控、業務分發系統、堡壘機等可管理大量系統的管控系統)中的漏洞。此類漏洞可造成大面積影響,獲取業務系統控制權限(視具體情況而定),獲取核心繫統管理人員權限,甚至是控制核心繫統。
重大漏洞包括但不限於:
- 控制內網多台設備。
- 獲取核心後台超級管理員權限,企業核心數據泄露,可造成嚴重影響。
- 智能合約溢出和條件競爭漏洞。
高危漏洞
- 獲取系統權限(GetShell、命令執行 等)。
- 系統 SQL 注入(後台漏洞降級、打包提交酌情優先處理)。
- 敏感信息越權訪問,包括但不限於繞過認證直接訪問管理後台、重要後台弱密碼、獲取大量內網敏感信息的 SSRF 等。
- 讀取任意文件。
- XXE 漏洞,可訪問任何信息。
- 涉及資金的未授權交易或繞過支付邏輯(需最終利用成功)。
- 嚴重的邏輯設計缺陷和流程缺陷,包括但不限於任意用戶登錄漏洞、批量修改任意賬戶密碼漏洞、涉及企業核心業務的邏輯漏洞等,驗證碼爆破除外。
- 大範圍影響用戶的其他漏洞,包括但不僅限於重要頁面可自動傳播的存儲型 XSS、可獲取管理員認證信息且成功利用的存儲型 XSS 等。
- 大量源代碼泄露。
- 智能合約許可控制缺陷。
中危漏洞
- 交互后才會影響用戶的漏洞,包括但不限於存儲型 XSS、涉及核心業務的 CSRF 等。
- 平行越權操作,包括但不限於繞過限制修改用戶數據、執行用戶操作等。
- 拒絕服務 (DoS) 漏洞,包括但不限於由 DoS 網絡應用程序造成的遠程 DoS 漏洞。
- 由驗證碼邏輯缺陷導致任意賬戶登錄、任意密碼找回等由於系統敏感操作可成功爆破而造成的漏洞。
- 本地保存的敏感認證密鑰信息泄露,需能進行有效利用。
低危漏洞
- 本地 DoS 漏洞包括但不限於客戶端本地 DoS(正在解析文件格式、網絡協議生成的崩潰)、由 Android 組件許可暴露導致的問題、常規應用程序訪問等。
- 常規信息泄露,包括但不限於網頁路徑遍歷、系統路徑遍歷、目錄瀏覽等。
- XSS(包括 DOM XSS/反射 XSS)。
- 常規 CSRF。
- URL 跳轉漏洞。
- 短信炸彈、郵件炸彈(每個系統僅接受一類此種漏洞)。
- 其他危害較低、不能證明危害的漏洞(如無法獲取到敏感信息的 CORS 漏洞)。
- 未返回值且沒有深入利用成功的 SSRF。
暫不接受的漏洞類型(提交后將被忽略)
- 电子郵件欺騙。
- 用戶枚舉漏洞。
- Self-XSS 和 HTML 注入。
- 網頁缺失 CSP 和 SRI 安全策略。
- 非敏感操作的 CSRF 問題。
- 單獨的 Android App android:allowBackup=「true」問題,本地拒絕服務問題等(深入利用的除外)。
- 修改圖片尺寸造成的請求緩慢等問題。
- Nginx 等版本泄露問題。
- 一些功能問題,無法造成安全風險。
- 人身攻擊 Bybit 員工/對 Bybit 員工進行社交工程。
禁止以下行為
- 開展社交工程和/或參与網絡釣魚。
- 泄露漏洞的具體信息。
- 漏洞測試僅限 PoC(概念證明),嚴禁破壞性測試。如測試過程中意外造成危害,應及時上報。此外,測試期間如進行刪除、修改及其他敏感操作,均必須在報告中說明。
- 大規模掃描請使用掃描工具。如果業務系統或網絡無法使用,將根據相關法律進行處理。
- 漏洞測試應盡量避免直接修改頁面、繼續彈出消息框(XSS 驗證建議使用 DNSLog)、竊取 Cookie 以及/或者獲取等入侵式負載,例如獲取用戶信息(XSS 盲測請使用 DNSLog)。如果您意外使用了入侵式負載,請立即將其刪除。否則,我們有權追究相關法律責任。
這篇文章有幫助嗎?
有沒有